政府、金融、医療など、高い機密性が求められる領域において、適切なセキュリティ性能を有していることを示すためには、FIPS 140-3のような厳格な基準に準拠することが非常に重要です。
この度、PKCS #11(暗号操作のためのAPI標準仕様)を介した、MozillaのNSS(Network Security Services)へのwolfCryptの統合を開始しました。wolfCryptはFIPS 140-3認証取得実績を有する、耐量子暗号アルゴリズムにも対応した暗号エンジンです。これにより、Linuxディストリビューション全体でFIPS 140-3に準拠させる目標にさらに近づくことができました。
Firefoxは暗号処理にNSSライブラリを採用しています。このNSSライブラリは、デフォルトの暗号エンジンであるfreeblとやり取りするために、広く使用されているAPI標準 PKCS#11を使用しています。
FIPS認証の役割
FIPS認証は、暗号処理の実装が米国国立標準技術研究所(NIST)によって設定された厳格なセキュリティ基準を満たすことを保証します。高いセキュリティ品質の保証を求められる組織にとって、FIPS準拠を達成することは必要不可欠です。wolfCryptはすでにFIPS 140-3認証取得実績があり、セキュリティ性能を妥協できない環境に適した非常に優れた選択肢です。
wolfCryptのNSSへの統合
wolfCryptをNSSに統合するために、デフォルトのsoftokn-freeblライブラリをwolfPKCS11に置き換えます。これにより、NSSはPKCS#11インターフェースを通じてwolfCryptのFIPS認証アルゴリズムを利用でき、アプリケーションはシームレスかつ効率的に安全な暗号化機能を活用できるようになります。
PKCS#11インターフェースを利用することで、構成ファイル以外を変更することなくバイナリを差し替えるだけで動作させることができます。
GitHubのwolfPKCS11リポジトリで提供している、nssフィーチャーブランチで具体的な進捗状況を確認できます。
Firefox以外のアプリケーションにとっての利点
今回のアプローチは、Linuxディストリビューション全体でFIPS認証に準拠した暗号処理を使用する、非常に大きな取り組みの一部です。同様のプロジェクトには、wolfCryptとlibgcryptやGnuTLSなどのライブラリとの統合が含まれます。これらの取り組みにより、複数の暗号ライブラリを使用することによって生じる複雑さと潜在的な脆弱性を減らし、統一された暗号レイヤーの実現を目指しています。
libgcryptやGnuTLSとの統合については、以下の投稿で詳しくご紹介しています。
ご質問がございましたら、ぜひ info@wolfssl.jp までお問い合わせください。